中小企业面临的的内部威胁

    安全理论往往重点关注外部的问题----建立防火墙，不让坏人进入，因为外面是很危险的。然而，大多数公司的最大威胁通常存在于防火墙里面---一些可信赖的员工能自由进入系统，而无需使用各种黑客工具。他们仅利用自己的指尖就能掌控一切。

    中小型企业可能会认为，由于他们规模较小，结构比较紧凑，他们更了解他们的员工，类似威胁不会那么大。但是真的是这样吗?

    内部威胁有很多种，可以是偷窃敏感的客户数据，也可能是窃取贸易机密---如果被传递给你的竞争者，则可能让你的公司遭受严重损失。相比于拥有较深厚财力来保护自己的大企业，中小型企业在这种内部威胁面前似乎有点不堪一击。

    可以从三个层面上来减轻内部威胁：物理安全、管理安全和技术安全保障。对于中小型企业，前两项---物理安全和管理安全---可能已经是日常工作的一部份了。可见，技术安全保障是一个关键，因为它需要对资金以及人员都有很高要求的网络监测工具。

    不过，仅需花费合理的资金和现有的IT人员，中小型企业同样能保护自己免受内部威胁的影响。以下是专为人员不足和资金短缺的中小型企业设计的一些最佳解决方案：

    基本要素

    1. 对你的数据和系统进行风险分析

    确定你拥有什么样的数据，数据的敏感性以及数据存在于哪个系统上。你的系统存有敏感的客户数据吗，例如社会安全号码?你存储了病人的医疗记录吗?银行账户和其他财务信息呢?

    2. 根据数据的不同风险级别，建立一个数据分类系统

    这个系统应该至少包括三个级别---低等、中等和高等，并且它要是你的信息安全政策的一部分(如果你有类似策略的话)。社会安全号码、医疗记录和财务信息属于高风险。而可以在电话簿上找到的顾客的名字和地址属于中等风险。不能追溯到个人的销售数据，以及他/她的账户或者交易信息属于低等风险。一些公共信息，如打印出来的或者网站上的销售画册，同样也属于低等风险。

    有些分类是根据你所在行业的规章制度来确定的。在严格管制的行业，如医疗和金融业，你必须遵循由健康保险携带和责任法案(HIPPA法案)为医疗机构制定的准则或者萨班斯-奥克斯法案为金融金钩制定的准则。

    物理安全

     1. 限制员工的控制权

    员工不应该对公司设备有自由的掌控权。所有的拥有高风险数据的IT系统都应该被物理隔离开来，存放在单独的上锁的房间。只有因为工作职责需要获取那些信息的员工才允许进入系统。

    2.建立徽章系统

    所有在职员工、客人和供应商都需要使用徽章。根据徽章的颜色的不同来确定哪些人可以进入哪些区域。进入重要区域的应该进行登记，并定期检查。

    徽章系统不需要很精细，只需花费一定资金建立一个简单的系统就可以了。但是，如果你是政府承包商，或者使用的是机密材料，你可能就需要智能卡或者生物识别技术了，当然花费会更大。

    管理安全

    1. 在雇用员工前对其进行背景检查

    这并不意味着需要对他的历史彻底调查，甚至追溯到他的幼儿园老师，但是核实过去五年的工作情况是必要的。另外，教育背景、学位、专业认证和犯罪记录也都需要检查。这些可以由你已有的人力资源工作人员来完成，或者外包给服务提供商。

    仔细权衡背景检查得到的结果。例如在犯罪纪录的搜查中，可能会搜到某候选人多年前因为年少莽撞或者一次校园恶作剧导致的轻度违法，不应该仅因为这样就取消候选人的资格。但是如果是近年来因为欺诈而被判入狱两年的重罪记录，而且该候选人还在其简历上抹去了这一事实(经核查)的，不能让其进入公司。

    2.数据访问控制是关键

    应该要根据员工的工作职责确定他们的任务，以及他们可以进入的数据风险级别。此外，任务也可以根据每个项目的要求来进一步细分。例如，一名工程师在进行一个项目，那么他就只能获取这个项目的数据，而不能获取可能涉及重要商业机密的其他项目的数据。

    你现有的IT系统，不管是Window还是Unix，已经有一个内置的数据访问控制。关键是要围绕风险级别创建组，确定任务。访问权需要定期审计，而且所有不再在公司工作的员工的访问权都应该被撤销。先前的雇员很可能造成内部威胁，因为他们仍保有系统访问权。如果他们的访问权没有被撤销，随时都可能对你的公司造成威胁。

    例如，Windows的活动目录和Linux的Lightweight目录访问协议，就都能帮助你创建组、确定任务、账户审计和撤销等操作。

    2. 安全意识培训

    安全意识培训可能比较昂贵。不过你不一定非得请一些收费高昂的培训师，也可以利用一些电脑程序和巧妙的途径来传播安全知识。Security Awareness公司和Native Intelligence公司都可以根据公司的需求提供各种网络培训。所有的员工必须接受类似培训，并作为他们年度工作审核的一部份。这些程序还可以自动记录员工是否接受了培训。

    技术保障

    技术控制包括对可疑的或者异常活动的网络监控。针对内部威胁的网络监控需要监控网络内部的活动，而不仅仅是从外部进来的活动，这一点与很多监控工具不同。

    限制移动设备和便携式存储设备(如USB设备和iPod)的访问

    有人可以这些设备可以从公司网络中下载数据，然后与雇员一起堂而皇之地走出公司大门。如果你使用的是活动目录，则可以通过组策略对象限制对USB端口的使用。另外，一些产品，如GFI Software有限公司的GFI LANguard和Safend公司的产品可以限制和监控网络中未经许可移动设备的使用。

    技术安全保障对于中小型企业可能是最昂贵的部分，不过也有一些替代方案，可以减少预算。

    Arbor Networks公司生产的Peakflow使用的是行为建模和分析内部网络流量来检测异常流量。通过创建正常活动和使用的基线，Peakflow使用专有的运算法检测出恶意流量，来指出内部人员的非法访问。拥有类似功能的其他公司还包括Netwise AB，Lancope公司，Mazu网络公司和Q1 Labs公司。

    有了以上三项安全保障---物理安全、管理安全和技术安全，剩下的关键就是审计和追踪了。这些方法不能制止怀恶意的内部人员盗取信息，但是他们可以帮助抓住嫌疑人。内部威胁不可能完全消除，然而它可以被监控。